Da war er – Anfang Juli wurde der erste Cyber-Katastrophenfall Deutschlands ausgerufen. Getroffen hatte es den Landkreis Anhalt-Bitterfeld. Es handelte sich um einen weiteren Fall eines Angriffs mit Hilfe von Ransomware, bei dem im Erfolgsfall Daten auf den Systemen verschlüsselt werden und gegen »Lösegeld« der passende Schlüssel geliefert wird, um die Daten wieder zu entschlüsseln.

Schnell war in Fachkreisen die Rede davon, dass es nur eine Frage der Zeit gewesen ist. Kommunen scheinen besonders schlecht gegen Angriffe geschützt zu sein, da sie oftmals über veraltete Hard- und Software verfügen oder nur kleine IT-Abteilungen beschäftigten. Doch vorangegangene erfolgreiche Angriffe auf Colonial Pipeline oder insbesondere die kürzlich mit unfreiwilliger Hilfe des IT-Dienstleisters Kaseya erfolgten Attacken zeigen, dass selbst Unternehmen, die über mehr Wissen und Mittel zur Abwehr von Cyberangriffen verfügen als kleinere Kommunen, nicht gefeit vor großem Schaden sind.

Natürlich gibt es keinen absoluten Schutz: Die Systeme der Informationstechnologie werden immer komplexer. Fehlerfreie Software existiert nur in der Fantasie von Science-Fiction-Autoren und neben all der Technik spielt auch der Mensch eine gewichtige Rolle und ist somit Garant für kommende weitere erfolgreiche Attacken. Aber es gibt einige organisatorische Punkte, deren Beachtung sich insbesondere in vertraglichen Beziehungen mit Dienstleistern empfiehlt. Es lohnt sich also, einmal in die abgeschlossenen Verträge zu schauen, Rechte und Pflichten zu überprüfen und immer dort, wo notwendig, gegebenenfalls neu zu verhandeln. Dies betrifft auch den oben erwähnten Punkt »kleine IT-Abteilungen« – dies darf überhaupt kein Grund dafür sein, nicht ein notwendiges Niveau an Schutz zu erlangen. Natürlich ist es schwierig – und das nicht nur in öffentlichen Verwaltungen – Budget für die anstehenden Aufgaben zu bekommen. Jedoch sind Angriffe wie der im Landkreis Anhalt-Bitterfeld allgegenwärtig und es kann nicht im Sinne von Bürgermeistern oder Landräten sein, dass sie die nächsten sind, die sich vor die Presse stellen müssen, um den Katastrophenfall auszurufen (und zu erklären, warum sie die IT-Systeme und vor allem auch die Daten der Bürger nicht ausreichend schützen konnten).

Folgende organisatorische und/oder vertragliche Punkte sollten daher regelmäßig überprüft werden:

Datensicherung
Die einfachste Möglichkeit (außer das bereitwillige Zahlen von Lösegeld), verschlüsselte Daten wiederherzustellen, wäre das Rückspielen der nicht kompromittierten Daten aus einer Datensicherung. Neben Anzahl der vorzuhaltenden Generationen (eine einzige reicht hier nicht aus) sollte im Sinne einer zügigen Rücksicherungsmöglichkeit öfters ein Voll-Backup erstellt werden (im Gegensatz zu einem »ewigen« inkrementellen Backup oder das alleinige Vertrauen auf online gehaltene Snapshots) und die Verbindung zu den Backup-Systemen nicht dauerhaft bestehen, sondern nur für den Zeitraum der Datensicherung. Ebenso sollte sich zumindest eine aktuelle Generation des Backups an einem sicheren Ort, beispielsweise einem Datenfernlager, befinden. Alle vorgenannten Punkte gelten sowohl für den Eigenbetrieb als auch im Outsourcing-Fall. Im letzteren gehören sie vertraglich geregelt. Zu den vertraglichen Regelungen gehört auch die Festlegung einer Zeitspanne, die eine Rücksicherung maximal dauern darf. Eine Arbeitsunfähigkeit von zwei Wochen wie im Fall Landkreis Anhalt-Bitterfeld können sich mithin nicht viele Organisationen erlauben.

Schwachstellenmanagement und Patches
Zumindest die wesentlichen Systeme sollten stets über einen aktuellen Patch-Stand verfügen – oftmals sind erst kurz vorher veröffentlichte Schwachstellen der wesentliche Angriffsvektor. Dabei bietet sich eine größtmögliche Automatisierung an, damit die manuellen Eingriffe auf ein Minimum reduziert werden. Zugleich sollten auch immer CERT-Meldungen (etwa vom CERT Bund) und Herstellermeldungen abonniert werden, um auf dem Laufenden zu bleiben.

Wartungsverträge
Eigentlich selbstverständlich ist das Vorhandensein von Wartungsverträgen für Hard- und Software. Natürlich spart es Kosten, keine Wartungsverträge abzuschließen. Das ist jedoch nicht nur töricht, sondern auch fahrlässig. Doch auch bei Vorhandensein von Wartungsverträgen unterbleibt es in gar nicht so wenigen Fällen, notwendige Hotfixe oder Sicherheit-Patches einzuspielen. Die Gründe hierfür können vielfältig sein, zum Beispiel keine Zeit, kein Personal oder Unwissen, ob überliegende Applikationen noch nach dem Einspielen funktionieren.

Das darf jedoch keine Ausrede sein, insbesondere, da aus (scheinbarer) Fahrlässigkeit später durchaus ein (bedingter) Vorsatz abgeleitet werden könnte (»Das haben wir schon immer so gehandhabt«). Auch hier schadet der Blick in vorhandene Verträge nicht und insbesondere sollte überprüft werden, wann gemäß Wartungsvertrag Patches geliefert werden müssen und wie schnell diese getestet und eingespielt werden müssen. Grundsätzlich gilt ein Ermessensspielraum, aber es sollte dafür gesorgt sein, dass als hochkritisch eingestufte Sicherheitslücken unverzüglich geschlossen werden.

Audits
Mit Abschluss eines Outsourcing-Vertrags gehen viele Pflichten auf den Dienstleister über. Nichtsdestotrotz verbleibt Verantwortung beim Auftraggeber. Damit dieser seine Kontrollpflicht wahrnehmen kann, bedarf es einer Berechtigung, Audits durchzuführen. Hier sollten die Verträge insbesondere auf das Recht zu Audits im Bereich der Informationssicherheit geprüft und – so nicht vorhanden – ergänzt werden. Wichtig ist in diesem Zusammenhang der finanzielle Aspekt. Dienstleister stehen nicht unbeschränkt für Audits aller Kunden zur Verfügung und begrenzen deshalb gerne ihren Aufwand vertraglich. Dies ist marktüblich und legitim. Als Auftraggeber sollte jedoch darauf geachtet werden, dass schon bei fahrlässigen Verstößen gegen die Obliegenheiten in der Informationssicherheit jeder Aufwand – auch der des Auftraggebers – zur Beseitigung der Missstände vom Dienstleister getragen werden muss, zumal dann auch andere Kunden des Dienstleisters mittelbar oder unmittelbar Nutznießer sein können.

Ein weiterer Punkt in vielen Verträgen verpflichtet den Auftraggeber zu einer Ankündigung eines Audits mehrere Tage (bis zu zwei Wochen) im Voraus. Dies ist aber nicht im Sinne der IT-Sicherheit. REvil – um nur eine Hackergruppe namentlich zu nennen – kündigt ihre Angriffe auch nicht mehrere Tage im Voraus an. Daher ist zumindest für Audits im Bereich der IT-Sicherheit eine Vorankündigung nicht angemessen, sondern gar kontraproduktiv. Es sollte das Recht bestehen, diese auch unangekündigt durchzuführen (wenn auch nicht unangemessen oft).

Haftung
Auch in der vertraglichen Haftung lohnt ein Blick in den Vertrag. Da fast zeitgleich mit dem Fall Anhalt-Bitterfeld die vorgenannte Angriffswelle über einen Dienstleister erfolgte und diese erfolgreich auf dessen Kunden durchschlug, stellt sich die berechtigte Frage, wie die Haftung bei erfolgreichen Angriffen auf den Dienstleister des Auftraggebers ausgestaltet werden sollte. Grundsätzlich sollte deshalb für Schäden, die im Verantwortungsbereich des Dienstleisters vorsätzlich oder fahrlässig entstanden sind, eine verschuldensunabhängige Haftung vertraglich vorgesehen werden. Für den Eigenbetrieb käme der Abschluss einer spezialisierten Versicherung in Betracht. Aufgrund von Ausschlusskriterien ist in vielen Fällen jedoch eine Investition in organisatorische Maßnahmen (siehe Datensicherung und Wartungsverträge) und Auf- beziehungsweise Ausbau des Personals in IT-Sicherheit sowie das Hinzuziehen von auf IT-Sicherheit spezialisierten Dienstleistern weitaus sinnvoller.

Weitere technische und organisatorische Maßnahmen
Über die Datensicherung hinaus kann – und muss – in weitere technische Maßnahmen investiert werden. Der Einsatz unterschiedlicher Viren-Scanner sowohl auf Client- als auch Server-Seite sollte genauso zum Standard gehören wie eine Absicherung der Netzwerke durch Firewall-Systeme. Bleibt zum Schluss der Risikofaktor Mensch: Steter Tropfen höhlt den Stein. Alle Mitarbeiter mit Zugriff auf IT-Systeme sind nicht nur einmalig, sondern beständig auf die Gefahren hinzuweisen. Kaum einer stört sich in produzierenden Unternehmen an den Hinweisschildern, einen Helm zu tragen, Gehörschutz anzulegen oder die Handläufe bei Treppen zu verwenden. Hier muss sich die IT nicht hinter vermeintlich genervten Anwendern verstecken. Auch die vorgenannten Punkte können vertraglich mit Dienstleistern in Outsourcing-Beziehungen vereinbart werden und es ist sinnvoll, auch hier auf Erfüllung zu bestehen.

Die vorgenannten Punkte zusammen bieten keinen absoluten Schutz, dienen aber dazu, dass im Fall einer Katas-trophe angemessen reagiert werden kann. Dabei ist insbesondere ein Augenmerk darauf zu richten, dass die eingesetzten Systeme aktuell gehalten werden und die Wiederherstellungszeiträume aus der Datensicherung angemessen kurz bleiben.

Christoph Lüder (l.), Marcus Schwertz,
LEXTA – Part of Accenture

www.lexta.com/de

Illustration: © Makstorm/shutterstock.com

1381 Artikel zu „Ransomware“

NEWS | IT-SECURITY | TIPPS

Keine Panik nach dem Ransomware-Angriff

14. August 2021

Sieben Maßnahmen, die Opfer während oder nach einem erfolgreichen Ransomware-Angriff ergreifen sollten. Die Ransomware-Welle schwappt unverändert über Unternehmen und Behörden hinweg und gefühlt verschärft sich die Sicherheitslage. Die Frage scheint nur noch zu sein: Wann und wie erwischt es einen selbst? Ratgeber, wie man seine Cyberabwehr gegen Ransomware aufstellen sollte, oder Technologien, die eine erfolgreiche…

Christoph Lüder (l.), Marcus Schwertz, LEXTA – Part of Accenture

1381 Artikel zu „Ransomware“

Christoph Lüder (l.), Marcus Schwertz,
LEXTA – Part of Accenture